Novemberi Hírlevél

Decemberi Hírlevél

Februári IT-Biztonsági Hírlevél

Esettanulmány - Fortinet a Cube-nál

Statisztika - felmérés

Check Point felvásárolja a Nokia védelmi eszközeit

10 ok a Behatolás felfedező s megelőző eszközök mellett

 

 

Esettanulmány - Fortinet a Cube Pénzügyi Csoportnál

A Sydney központú Cube Financial Group egy gyorsan növekvő, pénzügyi szolgáltatásokat nyújtó vállalat, amely változatos befektetési megoldásokat kínál a vállalkozó kedvű ausztrál befektetőknek. Ezeket átfogó online és személyes kapcsolattartással erősítik meg, így támogatva azt, hogy vevők saját maguk hozzák meg befektetési döntéseiket. Három év alatt a Cube ügyfélköre már több mint 2000 tagot számlál. 

„A Fortinet megoldás lehetővé teszi, hogy megfeleljünk az elvárásoknak, amiket megkövetel a szabályozó szervezet, az ausztráliai Securities és Investments Commission, (ASIC) és amire szükségünk van a pénzügyi kereskedői engedélyhez. Összefoglalva kijelenthetem, hogy a Fortinet megoldás nagymértékű kényelmet biztosít nekünk - éppolyan, mintha egy kiemelt biztosításom lenne" - jelentette ki Wayne Johnson, a vállalat ügyvezetője.

Amikor a Cube hálózatvédelmi rendszereinek továbbfejlesztése sikertelennek bizonyult a fejlesztési költségek és technikai problémák miatt, a cég alternatívák kutatásába kezdett. Két nagy kihívással kellett szembenézniük az új megoldás kiválasztásánál: meg kellett felelni az egyre kifinomultabb és növekvő fenyegetettséggel szemben - amely nagyrészt kártékony kódok és programok, valamint azok behatolási kísérleteiből fakadt; és éppúgy megfelelőnek kellett bizonyulni a helyi ASIC ellenőrző szervezet pénzügyi szolgáltatásokat végző cégekkel szemben támasztott elvárásaival kapcsolatosan.

A Cube jobb védelmet keresett a tartalom alapú fenyegetésekkel szemben, emellett csökkenteni szerette volna a spamek tömegét, amely rengeteg időt rabolt el az alkalmazottaitól és IT szakembereitől. Az ausztrál tőzsdén való online jelenlétükkel és a tárolt ügyféladatokkal a cég nagyon is tisztában volt a hálózatbiztonság értékével. Habár a Cisco Systems régi vevői voltak, amikor tovább akarták fejleszteni a Cisco PIX tűzfalukat, sokféle problémával kerültek szembe és a költségek is kezdtek felgyülemleni.

A Cube IT adminisztrátora, Joel Duckworth úgy határozott, hogy eljött a változás ideje.

„Miután kiértékeltünk különféle menedzselt biztonsági szolgáltatástokat nyújtó szolgáltatót, végül a Fortinet egyik Platina-fokozatú viszonteladóját, a Seccom Networks céget választottuk, figyelembe véve a pénzügyi szektor szolgáltatásaival kapcsolatos tapasztalataikat és azt, hogy 7x24-es terméktámogatást és gyors termékcserét vállaltak. A Seccom ajánlotta figyelmünkbe a Fortinet FortiGate eszközeit, hogy ezekkel védjük a hálózatunkat, figyelembe véve a megoldások átfogó tulajdonságait és költségvonzatát.

Megoldás

Az elérhető opciók kiértékelés, tesztelése alatt Duckworth úgy találta, hogy a Juniper és a SonicWall eszközeinél hiányoztak a felhasználóbarát kezelhetőség tulajdonságai, míg más gyártók nem ajánlották az a széleskörű funkcionalitást, amit a FortiGate. Lenyűgözték a FortiGate antispam és antivirus képességei, IPS tulajdonságai és tűzfala, internetes tartalom-szűrése és a számukra megfelelő riportolás könnyedsége.

„Azonnal költséget takarítottunk meg a licencek és az üzemeltetés költségein és egyúttal egy független spam-szűrő megoldást kaptunk, úgyhogy a Fortinet ezen is spórolt nekünk" - emlékezett vissza Duckworth. A Cube Financial Group a fő hálózatára egy FortiGate-200-at használ, míg a tartalék vonalukat egy FortiGate-60 eszköz védi. A Seccom Networks folyamatos karbantartással és támogatással segíti mindezt.

Eredmények

„Az időmet már nem osztja meg többféle biztonsági eszköz és platform menedzselése. Most csak egyetlen kiszolgálóhoz kell hozzáférnem és a FortiGate antivírus, behatolás-megelőzés, tűzfal, tartalomszűrés és antispam szolgáltatásai teljes biztonságot nyújtanak" - jelentette ki Joel Duckworth, adminisztrátor.
A Cube Financial Group-nak 60 százalékkal csökkentek ezirányú költségei miután lecserélte a Cisco PIX biztonsági technológiát FortiGate eszközökre. Wayne Johnson csoportvezető igazgató azt mondja, hogy a Fortinet Unified Threat Management megoldás feltűnő visszatérülési mutatót (ROI) eredményezett már az első 2 hónapban.

A Fortinet megoldása nemcsak pénzt takarít meg, hanem biztosítja a műszaki megfelelőséget is

„A jelenlegi rendszerrel megfelelhetünk az ASIC elvárásainak, ami létfontosságú számunkra ahhoz, hogy üzleti szolgáltatásainkat értékesíthessük ügyfeleinknek. Mindent összevetve a Fortinet jelentős kényelmet nyújt számomra - mintha egy jó biztosítást kaptam volna" - értékelte a projektet a cég ügyvezetője.

A beérkező spamek mennyiségét 90 százalékkal tudták visszaszorítani, amely nagyjából naptonta 45 percnyi munkaidőt adott vissza az ügyvezetőjüknek. Elmondása szerint a személyes produktivitása szinte új szárnyakra kapott, miután a FortiGate spam-szűrése ilyen szinten könnyítette meg a napi levelezésének intézését.

Az új technológia könnyebbé tette a Cube informatikai csapatának életét is. Az IT adminisztrátoruk különösen nagyra értékelte, hogy a heti riportok összeállításában segítségére lehet a FortiReporter eszköz. Elmondása szerint a kezelése szisztematikus és egyszerű, minden szükséges információt megad a felmerült kockázatokról és a dolgozók internetes munkavégzéséről. A generált riportok nem túlzottan ömlengősek, hanem a hálózatbiztonságuk teljes és intelligens analizálását tartalmazzák.

 

Melyik eszköz biztonsági logjaiban bíznak, ami kellő mélységében ellenőrzi a hálózat védelmét?

(bármennyit meg lehetett jelölni)

 

 

 

Check Point felvásárolja a Nokia védelmi eszközeit

A Check Point aláírt egy megegyezést a Nokia biztonsági eszközökkel foglalkozó üzletág akvizíciójáról.

Ahogyan azt már bizonyára sokan tudják, a Check Point és a Nokia biztonsági eszköz üzletága az elmúlt évtized folyamán szorosan együttműködtek, hogy az iparág vezető vállalati biztonsági megoldásait nyújtsák ügyfeleiknek. A Check Point bízik abban, hogy a felvásárláson keresztül tovább építhetik a már meglévő sikeres ügyfélkapcsolatokat egy elmélyültebb biztonsági eszköz-portfolióval.

Nokia az utolsó 12 évben a biztonsági eszközök piacának vezetője és a Check Point legfőbb stratégiai partnere volt.  A két cég tapasztalatait eképpen ötvözve a Check Point elképzelései szerint biztosítani tudja a hosszú távú, előnyös jövőképet a közös ügyfeleik számára.

A felvásárlás a két vállalat együttműködését a következő lépcsőre emeli. Továbbra is értékesíteni és támogatni fogják a Check Point és Nokia már meglévő terméksorozatait és emellett folyamatosan dolgoznak majd még jobb, még újabb biztonsági megoldásokon - egyesítve a Check Point és a Nokia szaktudását és fejlesztéseit.

A Check Point és Nokia közötti ügylet várhatóan 2009 első negyedében lezárul. Ennek bekövetkezéséig, mindkét vállalat az eddig megszokott módon üzemel tovább, és két különálló jogi személyként működik.

 

 

 

10 ok arra, hogy Behatolás felderítő és megelőző (IDPS) rendszert alkalmazzanak

AZ IDPS rendszerek védik a vállalatot, nyomon követi a szabályozok betartását, kikényszeríti a védelmi politikát és akár pénzt is megtakaríthat a cég számára.

A Behatolás Felderítő Rendszerek (Intrusion Detection System- IDS) és Behatolás Megelőző Rendszerek (Intrusion Prevention Systems - IP)S, mint a legtöbb hálózatbiztonsági megoldás, folyamatosan fejlődnek, hogy lépést tartsanak az örökké fejlődő számítógépes fenyegetésekkel. A korábbi jóslatok alapján azt várhattuk, hogy az IPS kezdeményező-megelőző intelligenciája, ami aktívan részt vesz a biztonsági fenyegetéseket megállításában, kiszorítja az IDS-ek által nyújtott passzív ellenőrzést, ami egyszerűen csak felfedi a fenyegetéseket.

Ehelyett a vállalatok elkezdték szinkronban használni a két technológiát, és így egy még teljesebb hálózati biztonsági környezetet hoztak létre. Manapság már komoly indok kell egy olyan eszköz beszerzéséhez, ami nem integrálja IDS és IPS technológiákat - a legtöbb gyártó ugyanis olyan megoldásokat tud ajánlani, amik mindkettőt végrehajtják és gyakran IDS/IPS-nek vagy IDPS-nek nevezik. (Intrusion Detection and Prevention System). Egy ilyen eszköz virtuálisan szinte két külön eszközre bontható, így biztosítva, hogy az IDS funkcionalitást a belső-, az IPS-t pedig a határvédelmi hálózati pontokra használhassuk. Ebben a szellemben implementálva az IDPS-ek túl azon, hogy az egyértelmű veszélyeztetésekkel szemben megelőző-blokkoló szerepkört vállalhatnak, képesek lesznek észlelni a gyanús, lenyomozást igénylő hálózati anomáliakat is.

1.  Hálózati támadások meghiúsítása

Az első és legfontosabb, hogy az IDPS egy olyan összetett biztonsági eszköz legyen, ami sokféle észlelési technológia alkalmazásával felfedje a bejövő rosszindulatú forgalmat és megállítsa, mielőtt a férgek, trójaiak, vírusok és más fenyegetések megrongálhatnák a vállalati hálózatot. Ha az eszközt csak behatolások felderítésére állítják, a rendszer riasztani fog és az adminisztrátor megvizsgálhatja a gyanús kódot.

Ha az eszközt úgy állítják be, hogy behatolás megelőzést hajtson végre, akkor le fogja állítani a rosszindulatú forgalmat, amint felismeri azt. Az IDPS sokféleképpen tudja megtenni ezt: megszakíthatja a hálózati összeköttetést vagy azt a felhasználói kapcsolatot, ami támadja a vállalatot. Blokkolni tudja a veszélyes felhasználói fiókot, az IP-címet vagy más támadói sajátosságot, így akadályozva, hogy hozzáférjen a megcélozott szerverekhez vagy a másik hálózati értékekhez. Illetve lezárhat minden hozzáférést a hosthoz, a szolgáltatáshoz, alkalmazáshoz vagy a bármilyen hálózati komponenshez, amit megtámadtak.

Számos IPDS eszköz elég kifinomult ahhoz, hogy egyre intelligensebb ellenlépéseket hajtsanak végre a veszélyt okozó eseményekkel szemben. Néhány megoldás le tudja állítani a támadást úgy, hogy menet közben újrakonfigurálja a hálózati beállításokategy másik eszközön, mint például egy routeren vagy egy tűzfalon, így torlaszolva el a támadó hozzáférését. Némelyikük gyors javítást (patchet) tud biztosítani a host részére, ha az IPDS sebezhetőségeket fedez fel. Ezenfelül vannak olyan rendszerek is, amelyek megszűrik az érintett kommunikációt és „lefegyverezik" azáltal, hogy kiveszik belőle a kártékony tartalmat - például törlik a fertőző fájlt, mielőtt a felhasználóhoz érkezne.

2.  Riasztja a lehetséges biztonsági incidensekről a hálózati adminisztrátort

Amikor az IDPS behatolás felderítés végrehajtására állítják be, akkor bármilyen fenyegetésnél vagy a biztonsági szabályszegésnél értesíteni fogja az adminisztrátort. Mivel az IDS egy passzív technológia, a potenciálisan támadást rejtő forgalom továbbjuthat a hálózatra és így az adminisztrátornak kell eldöntenie, hogy megtörtént-e a behatolás.

Az értesítés a támadásról többféle módon érkezhet: sima emailben, egy külön erre fenntartott oldalon, üzenetként az IDPS felhasználói interfészen, egy „SNMP trapként"( Simple Network Management Protocol), syslog üzenetként vagy egy külön definiált, egyedi programon vagy scripten keresztül. Általában az ilyen riasztás csak az eseményt leíró alapvető adatokat tartalmazza, a további részleteket pedig az IDPS jelentéseiben tekinthetjük meg.

Attól függően, hogy az IDS eszköz milyen gondosan hangolt, több száz riasztást küldhet az adminisztrátornak naponta és ezek közül sokról kiderülhet, hogy téves riasztás volt. Az eszköz hálózati aktivitásokon történő alapos „betanításával" nagymértékben csökkenhető a téves riasztások száma. Ez általában a tényleges üzembe kerülést megelőző pár hetes időszak, amikor a rendszer csak megfigyelésre, a szokásos forgalmak feltérképezésére van beállítva.

3.  Előírásoknak, törvényi szabályozásoknak való megfelelőség

Folyamatosan meg kell felelni hatályos előírásoknak és fenn kell tartani ezeket , mint például a Sarbanes-Oxley (SOX) és a HIPA (személyes adatok védelmére vonatkozó). A hibátlan biztonsági menedzsment elsődleges feladata ez a tengerentúli állami és pénzügyi szervezeteknél és hasonló elvárásoknak kell megfelelnie az európai cégeknek is. Ezekhez fontos kelléknek bizonyultak az IDPS rendszerek. lehetnek akkor is, amikor belső folyamatok minőségét kell mérni.

Az IDPS készülék segíthet egy vállalatnak megmutatni, hogy melyik alkalmazásokhoz és hálózati erőforrásokhoz fért hozzá rosszindulatú kód és ez fő követelmény, hogy eleget tehessenek a törvényi előírásoknak. IDPS alkalmazásával egy vállalat felelősségre vonhatóságot mutathat, miközben tisztázza a megfelelő felhasználói hozzáférési jogok rendbenlétét és azt, hogy ezeket az infrastruktúra kikényszeríti. Az IDPS eszköz logjai hasznosak lehetnek akkor is, amikor belső folyamatok minőségét kell mérni.

4.  Hálózati biztonsági szabályzat kikényszerítése

Az IDPS eszköz a vállalkozást nem csak a betolakodók rosszindulatától védi, hanem a felhasználók hibáitól is megóvhat - vagy akár egy elégedetlen alkalmazott bosszúra tett kísérleteitől. Az elmúlt évek elektronikus bűnözéssel foglalkozó felméréseiben sorra jelentették ki, hogy a biztonsági incidenseket bevalló szervezetek több mint felénél legalább 1 esetben belső támadóval volt dolguk.

A legtöbb IDPS eszközben a tűzfalak szabályrendszereihez hasonló módon lehet megalkotni a hálózatbiztonság szabályozását. Emellett néhány eszköz képes a fájlátviteleket ellenőrizni, hogy a rosszindulatú használatot jelezze, lehet az például, ha egy felhasználót átvisz egy adatbázist egy laptopra. Minden esetre nem szükségszerű, hogy ezeket az ellenőrzéseket titokban hajtsuk végre. Ha a felhasználóink tudják, hogy az informatikai rendszereket ellenőrzik biztonsági szabálysértéseket illetően, akkor kevesebb tudatosan elkövetett esetre lehet számítani.

Továbbá az IDPS használata segíthet ezeket a biztonsági szabályzatokat fenntartani és formálni. azokba a hálózatforgalomi mintákba betekinteni, amik fontos lehet olyankor, amikor el kell dönteni, a felhasználóknak milyen szintű hozzáférést engedélyezzen. Az IDPS szintén értesítheti az adminisztrátort a duplikált tűzfal szabályokról és elfogja azt a veszélyes forgalmat, amit a tűzfal átengedett.

5.  Produktivitást csökkentő internethasználat (csevegő programok, médiafolyamok, fájlcsere) limitálása

A legtöbb szervezet nem akarja kitiltani az alkalmazottainak a videomegosztó és -letöltő oldalak (pl. YouTube)elérését, de egyidejű letöltések futtatása sok vállalatnál lecsökkentheti a sávszélességet. Bár egy chatprogram akár értékes kommunikációs eszköz is lehet néhány környezetben, az alkalmazottak valószínűleg inkább személyes üzeneteket küldenek ki, mint munkával kapcsolatosakat.

Ahelyett, hogy betiltaná az Interneten ezek a használatait, használni lehet az IDPS eszközt, hogy garantálja az üzleti folyamatokhoz szükséges sávszélesség-igényeket. Behatolás megelőzés technológiával ezt arányok limitálásán keresztül valósíthatja meg, korlátozni lehet például a WAN interfészen keresztül átmenő forgalmát úgy, hogy maximum 10 százalék legyen nem üzleti jellegű forgalom. Ezek figyelembevételével az IDPS proaktív működési szabályzat beállítási pont lehet.

A sávszélesség elfogyasztásánál veszélyesebb a támadások új módjai, amelyeket a chatprogramok nyitnak meg. A legtöbb ilyen „Instant Messaging" program mellékleteket küldhet az üzenetekkel, amik malware-eket tartalmazhatnak, mint például egy worm-öt. Amint egy féreg titokban letöltötte magát, a támadó arra használhatja, hogy irányítsa a felhasználó számítógépét és hozzáférjen a hálózathoz. Némely IPDS eszköz fel tudja fedezni és bezárni az ilyen jogosulatlan interaktív forgalmat - habár az ebben a pontban taglaltakat leginkább a vállalati tartalomszűrő megoldásokkal szokás eliminálni.

6.  Hálózati aktivitások jobb megértése

Az IDPS naplózza a hálózati forgalommal kapcsolatos információkat, beleértve, hogy mely támadásoknak sikerült áttörnie a hálózatbiztonsági védelmet (és hogyan) és melyek azok, amiket meghiúsítottak (és hogyan). Sok szervezet kezdetben csak arra használja az eszközt IDS módban, hogy a hálózati kommunikáció alapjait megkapja. Ez így két célt szolgálhat. Először is az informatikai személyzet jobban átláthatja az IDPS eszközök képességeit, még mielőtt aktív védelmi szerepet kapna. Másodszor betekintést ad a mindennapos bejövő és kimenő hálózati forgalmakba, ami hasznos információ akkor, amikor az üzemi beállításokat kívánják létrehozni az eszközön.

Az IDPS jelentéseiben közölt tudásbázis felhasználásával az adminisztrátor jobban tud védeni bizonyos erőforrásokat, megtalálhatja a hiányosságokat a biztonsági rendszabályban és sikeresebben oldja meg az elkerülhetetlenül felmerülő problémákat. Szintén nagyon kézzel fogható módja lehet annak, hogy a vállalat vezetőségét megismertessük az ajtón kopogtató veszélyekről.

7.  Időmegtakarítás

Időigényes lehet a behatolás-észlelő technológia finombeállítása, melynek következtében elfogadható számú riasztást fog jelezni - a  false-pozitívokkal és a valós rosszindulatú kóddal egyetemben. De összehasonlíthatatlan azzal, amennyi időt elfoglalna az IT személyzettől, hogy mindennap ellenőrizzék a tűzfal aktivitások logjait. És mi van azzal az idővel, amit mindenkinek (az IT-nak és a többi dolgozónak egyaránt) megtakarít, mikor egy támadást sikeresen meghiúsít, amivel egyébként az egész hálózat kommunikációját lehetett volna leállítani?

8.  Felhasználók által telepített hálózati programok felismerése

Az IDPS eszköz segíthet felfedezni olyan  alkalmazásokat - típusukat és verziójukat - amelyeket a felhasználók töltöttek le és nem szerepel a programok jóváhagyott listáján. Ha ismert az a tény, hogy IM és  P2P szoftver található a vállalatnál, akkor további biztonsági lépéseket lehet tenni ez irányban.

9.  Partnerek bizalmának kiépítése

A behatolás megelőzés nem csak szól arról, hogy csökkenti a kockázatot, amivel a cég szembekerül, hanem arról is, hogy biztossá teszi a hálózatnál előforduló esetleges biztonsági hibák(mint pl. egy féreg vagy egy vírus) nem terjedhet át a partnerek hálózataira. Ez kulcsfontosságúvá válik, amikor a vállalat kormányzati hivatalokkal és pénzügyi csoportokkal működik együtt.

10.  Pénzmegtakarítás

Mint bármely valamirevaló technológia, az IDPS eszköz is számtalan módon takaríthat meg a pénzt a vállalat számára. Azonnal, újra tudja osztani az informatikusok időrendjét, így hasznos dolgokkal foglalkozhatnak ahelyett, hogy naponta órákon keresztül a tűzfal logok ellenőrzésével töltenék az időt, hogy pontosan megállapítsák a veszélyes aktivitásokat. Nehezebb számszerűsíteni azokat a költségeket, amelyeket egy esetleges biztonsági incidens miatti kiesés okozhat: például mekkora kiesést okozna egy webshopot üzemeltető cégnek, ha egyszer csak elérhetetlenné válik? Vagy ha egy sikeres behatolással üzleti adatokat vagy csak azok titkosságát veszítené el vállalatunk? Minden szervezetnek van (kellene lennie) egy egyedileg megalkotott forgatókönyve (DRP és BCP a hivatalos megnevezésük) ilyen esetekre - amit egy megfelelően kialakított IDPS megoldással még kevesebbszer kell majd elővenni és felhasználni.